大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
与朝鲜有联系的 Konni APT 组织使用俄语 Microsoft Word 文档传播恶意软件。
FortiGuard 实验室研究人员观察到,与朝鲜有关的Konni APT 组织在正在进行的网络钓鱼活动中使用武器化的俄语 Word 文档。
KONNI RAT 于 2017 年首次被思科 Talos 研究人员发现,自 2014 年以来一直未被发现, 并被用于高度针对性的攻击。由于不断进化,RAT能够逃避检测,能够在目标系统上执行任意代码并窃取数据。
在正在进行的活动中,威胁行为者使用 远程访问木马 (RAT) 提取信息并在目标设备上执行命令。
“FortiGuard 实验室最近发现,在正在进行的 Konni 活动中,使用了带有恶意宏的俄语 Word 文档。”阅读Fortinet 发布的报告。 “尽管该文件的创建日期是 9 月,但内部遥测数据显示该活动的 C2 服务器上正在进行的活动”
打开文档后,会出现一个黄色提示栏,并试图欺骗受害者“启用内容”。 Word文档似乎是俄语的。
启用宏后,嵌入式 VBA 会显示一篇题为“西方对特种军事行动进展的评估”的俄罗斯文章。
该宏使用“vbHide”参数启动“check.bat”脚本,以避免向受害者显示命令提示符窗口。
批处理脚本进行系统检查和UAC绕过。随后,它执行操作来部署具有信息收集和数据泄露功能的 DLL 文件。
恶意代码通过 POST 请求将泄露的加密数据上传到 C2 服务器。
尽管C2服务器没有透露实际的命令,但专家可以从DLL文件的汇编代码中推断出来。
“有效负载结合了 UAC 绕过和与 C2 服务器的加密通信,使威胁行为者能够执行特权命令。”报告总结道。 “随着这种恶意软件的不断发展,建议用户对可疑文件保持谨慎。”
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT KONNI使用俄语武器化文件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论